Verktøy på SSA-mal: Databehandleravtale og sjekkliste
Databehandleravtalen skal sikre at personopplysningene blir behandlet i samsvar med regelverket. Sjekklisten kan brukes for å sjekke at en leverandørs standard databehandleravtale tilfredsstiller norske krav.
Databehandleravtalen regulerer forholdet mellom en behandlingsansvarlig virksomhet og databehandleren. Avtalen skal sikre at personopplysninger behandles i henhold til ny personopplysningslov i 2018 som tilfredsstiller kravene til The General Data Protection Regulation (GDPR).
Personopplysninger har vidt nedslagsfelt og vil typisk behandles i HR-, lønns-, regnskaps-, ERP-, CRM-, arkiv-, rekrutterings-, e-post- og saksbehandlersystemer.
Husk at Databehandler har plikt til å gjennomføre en risikovurdering som grunnlag for å utarbeide krav til sikkerhet og vern av personopplysninger. Databehandleravtalen skal baseres på dette.
Avtalens oppbygning
Standardavtalen består av to deler:
- Generell avtaletekst
Inneholder standardtekst der partene kun fyller inn navn på avtalepartene, signatur mv. på forsiden. - Bilagene
Bilagene inneholder konkrete forhold som krever særlig avtaleregulering mellom partene.
- Bilag A – Opplysninger om behandlingen
- Bilag B - Betingelser for Databehandlerens bruk av Underdatabehandlere
- Bilag C - Instruks vedrørende behandling av personopplysninger
- Bilag D - Endringer til Databehandleravtalens standardtekst og endringer etter avtaleinngåelse
Gul markering viser hvor det enten må treffes et valg eller hvor punktet må fylles ut.
Når er en databehandleravtale påkrevd?
Hvis en virksomhet er behandlingsansvarlig (kunde), og setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter (leverandør), er den eller de som behandler opplysningene på vegne av den behandlingsansvarlige definert som databehandlere. Dette innebærer at kunden og leverandøren plikter å inngå en databehandleravtale i samsvar med personopplysningsloven.
Det er viktig å merke seg at leverandøren ikke kan behandle personopplysningene på annen måte enn det som er skriftlig avtalt med kunden. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet for å verne personopplysningene som behandles.
Det er behandlingsansvarliges ansvar at personopplysningene behandles i tråd med personopplysningslovens krav.
Klare og tydelige avtaler beskytter opplysningene til de registrerte, og bidrar til at de registrerte har større hos tillit til hvordan deres personopplysninger behandles. Databehandleravtaler er derfor viktige fordi de sørger for at både den behandlingsansvarlige og databehandleren(e) forstår sine forpliktelser og sitt ansvar.
Databehandleravtalen kan ha stor betydning for blant annet leverandørens arbeidsmetode, oppsett av systemer og lagring. Vi anbefaler derfor at kravene du har til databehandleravtalen blir en del av behovsvurderingen og markedsundersøkelsen og innarbeides i bilag 1 Kundens kravspesifikasjon ved bruk av Statens standardavtaler.
Definisjoner
Behandlingsvarlig og databehandler er definert av Datatilsynet.
- Personopplysninger: Enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Dette er typisk navn, adresser (herunder IP-adresser), telefonnummer eller informasjon som beskriver en aktuell person.
- Behandlingsansvarlig: Den som bestemmer formålet og hvilke hjelpemidler som skal benyttes i forbindelse med behandlingen av personopplysninger.
- Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.
- Underdatabehandler: Annen virksomhet som benyttes av Databehandler som underleverandør til behandling av personopplysninger under Hovedavtalen.
- Gjeldende personvernregler: Den til enhver tid gjeldende versjon av EUs personvernforordning (2016/679) ("personvernforordningen"), samt lov om behandling av personopplysninger av 15.06. 2018 (personopplysningsloven) med tilhørende forskrifter mv., samt eventuell annen relevant lovgivning som gjelder behandling og vern av personopplysninger og som er angitt i Bilag C, punkt C.8.
- Hovedavtalen: En eller flere avtaler mellom Behandlingsansvarlig og Databehandler om levering av tjenester som innebærer behandling av personopplysninger, som nærmere angitt i Bilag A. Databehandleravtalen kan gjelder flere underliggende avtaler.
På hjemmesiden til datatilsynet finner du mer informasjon om vern av personopplysninger. Sjekklisten ovenfor har tatt Datatilsynets veileder til databehandleravtalen som utgangspunkt.